from:http://www.blackmoreops.com/2014/05/07/use-sqlmap-sql-injection-hack-website-database/

0x00 背景介绍


1. 什么是SQL注入?

SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。SQL注入是网站渗透中最常用的攻击技术,但是其实SQL注入可以用来攻击所有的SQL数据库。在这个指南中我会向你展示在Kali Linux上如何借助SQLMAP来渗透一个网站(更准确的说应该是数据库),以及提取出用户名和密码信息。

 

2. 什么是SQLMAP?

SQLMAP是一个开源的渗透测试工具,它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎,适用于高级渗透测试用户,不仅可以获得不同数据库的指纹信息,还可以从数据库中提取数据,此外还能够处理潜在的文件系统以及通过带外数据连接执行系统命令等。

访问SQLMAP的官方网站http://www.sqlmap.org可以获得SQLMAP更为详细的介绍,如它的多项特性,最为突出的是SQLMAP完美支持MySQL、Oracle、PostgreSQL、MS-SQL与Access等各种数据库的SQL侦测和注入,同时可以进行六种注入攻击。

还有很重要的一点必须说明:在你实施攻击之前想想那些网站的建立者或者维护者,他们为网站耗费了大量的时间和努力,并且很有可能以此维生。你的行为可能会以你永远都不希望的方式影响到别人。我想我已经说的够清楚了。(PS:请慎重攻击,不要做违法的事情)

PS:之前在wooyun上看了一些关于SQLMAP的文章,受益匪浅,今天翻译这篇文章,是希望对于如何使用SQLMAP提供一个基本的框架,SQL注入的原理以及SQLMAP详细的命令参数和不同的应用实例可以参考下面的文章:

SQL注射原理:http://drops.wooyun.org/papers/59

SQLMAP用户手册:http://drops.wooyun.org/tips/143

SQLMAP实例COOKBOOK:http://drops.wooyun.org/tips/1343 (更多…)

六月 4th, 2014

Posted In: 网络技术

下面就整理一下全部的IPMI的资料

http://www.openfusion.net/linux/ipmi_on_centos

参考上面的连接,很多高级功能。

IPMI设置

IPMI需要进入bios,进行设置IP地址。这个本身没什么特别。不过有时候你会发现设置完IPMI的IP地址后,无法访问,也无法ping通。你会以为IPMI出问题了。

这个时候,你需要完全拔掉机器的电源,等待5分钟,把网线插入IPMI的网卡。这个时候,插上电源,就算不开机,也应该可以ping通,访问。这个问题折腾了我很长时间。

机器加电前,需要把IPMI的网线插上,这样可以初始化。

另外默认IPMI是DHCP获得IP。

IPMI访问

国产服务器的IPMI访问的用户和密码,基本就是这些。这个和主板有关。我见过的两种主板的IPMI就是超微和泰安的。他们间功能上有点区别,默认的密码也是不一样。

联想:用户名:albert  pass:admin

超微:用户名:ADMIN  pass:ADMIN

泰安的主板:user:root  pass:superuser

浪潮服务器:user:root  pass:superuser

IPMI的功能

通过web访问IPMI,你可以实现对机器的操作

  • 开机,关机,重启,查看机器当前的通电状态
  • 安装系统。有些服务器的IPMI,没有内置iKVM,无法实现系统的安装。这个估计和成本有关
  • 修改IPMI的网络和IP地址
  • 修改bios设置,可以通过IPMI进入bios
  • 设置Raid。这个目前对鼠标支持很差。要想设置raid,就只能用键盘操作。这方面IBM,Dell,HP做的不错,他们完全是可以使用鼠标操作。

别的功能,就基本不太实用。另外通过IPMI,其实是可以获得当前机器的电量消耗等参数。这个后续再深入研究。

对于超微的机器,可以设置IPMI的网卡,采用共享,就是让eth0(第一块网卡)和IPMI网卡共有。这样可以节省一条网线。还有就是IPMI专用的网卡是百兆。如果是共用,那么是千兆。

超微的IPMI,可以设置vlan,就是把IPMI口独立到一个vlan里。这样共享,也不会有安全性的问题。泰安的IPMI,是没有vlan这个功能。 (更多…)

六月 4th, 2014

Posted In: linux系统

无觅相关文章插件,快速提升流量